Un chercheur Français découvre comment il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. Une porte ouverte pour des infiltrations malveillantes.

Notre ami Jean-Pierre LESUEUR, le fondateur de Phrozen software n’est plus à présenter. Ce chercheur en sécurité informatique, auteur de nombreux logiciels permettant de contrer pirates et codes malveillants vient de trouver une petite finesse dans l’ensemble des Windows, et cela à partir du SP2 de Windows XP qui risque de faire réagir rapidement le géant américain. Le problème est simple, à travers un raccourci Windows, il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. « Du coup forcement, explique Jean-Pierre Lesueur, indétectable par les Antivirus actuels car un raccourci n’est pas directement un fichier exécutable« .Seulement, cette première découverte a fait suite à une seconde 100 fois plus vicieuse encore. Réussir à injecter une application directement dans le raccourci, ainsi plus besoin de télécharger et exécuter le code malveillant. Bilan, les pare-feu ne risquent plus de bloquer la potentielle attaque. Bref, une nouvelle couche problématique.Comment ça marche ?

Dans un premier temps (à l’aide d’un script python open source), l’application est convertie en tableau d’octets, pour l’inclure dans un script VBS (Visual Basic Script) qui va extraire ce même tableau vers un dossier temporaire pour pouvoir ensuite l’exécuter. La seconde tâche du script est de convertir ce script (multi lignes) en une seule et même ligne pouvant être interprétée en commande unique. Une fois la charge utile (payload) complètement créée, il suffit d’utiliser le second code (Delphi) pour injecter ce payload dans un raccourci Windows. Lors de l’exécution, le VBS sera exporté dans un fichier temporaire puis exécuté jusqu’au lancement de l’application malicieuse. « Etant donnée la nature du fichier, il est actuellement impossible de détecter de telles menaces sauf en se basant sur la taille du raccourci mais avec un fort risque de faux positifs, explique Jean-Pierre Lesueur. On pourrait aussi imaginer détecter les raccourcies qui ne sont pas utilisés pour faire de la redirection d’emplacement. Et laisser à l’utilisateur le choix de le garder ou non« .Bref, une menace démoniaque d’autant plus qu’il faut savoir que grâce à « Powershell » il serait même possible de lancer directement en mémoire une application sans jamais être écrites sur le disque ce qui rendrait la menace d’autant plus sérieuse.